InfoSec CTF Training: Level 5 Resolved

Bien, terminando este desafio vamos a tener ya un tercio del Training realizado.

Como siempre abrimos este tema, vamos a la presentacion del quinto nivel.

Molesta presentacion del quinto nivel.

Asi es, un hermoso alert molestando. Si no les aparece, es porque tenemos bloqueadas las ventanas emergente o JavaScript. Si quieren hacer la prueba, activenlo y van a ver que tan molesto es jaja 🙂

Una vez ya bloqueado, vamos a notar una imagen bastante graciosa.

aliens1

No digo que sean aliens, pero eran aliens

Sabiendo donde se encuentra la imagen (click derecho sobre la imagen + ver imagen = http://ctf.infosecinstitute.com/img/aliens.jpg), vamos a tratar de descargarla para analizarla. Seguramente el flag que estamos buscando se encuentra ahi. En mi caso, la voy a descargar en Linux mediante el comando WGET.

Descarga de la imagen mediante WGET

Antes de analizarla, voy a explicar por que nos avocamos directamente sobre la imagen: Existe algo bastante comun cuando tratamos imagenes en desafios: esteganografia y metadatos. Para no dar tantas vueltas con conceptos, vamos a consultar una vez mas a la wiki-todo-poderosa:

Metadatos, literalmente «sobre datos», son datos que describen otros datos. En general, un grupo de metadatos se refiere a un grupo de datos, llamado recurso. El concepto de metadatos es análogo al uso de índices para localizar objetos en vez de datos. Por ejemplo, en una biblioteca se usan fichas que especifican autores, títulos, casas editoriales y lugares para buscar libros. Así, los metadatos ayudan a ubicar datos.

La esteganografía, trata el estudio y aplicación de técnicas que permiten ocultar mensajes u objetos, dentro de otros, llamados portadores, de modo que no se perciba su existencia. Es decir, procura ocultar mensajes dentro de otros objetos y de esta forma establecer un canal encubierto de comunicación, de modo que el propio acto de la comunicación pase inadvertido para observadores que tienen acceso a ese canal.

En sintesis, los metadatos nos proveen los datos de los datos (ahora vamos a ver los metadatos de la imagen descargada) y la esteganografia es el arte de ocultar un elemento X dentro de un elemento Y (en este caso, vamos a tratar de conocer que se ha escondido detras de Y, tecnica llamada como estegoanalisis)

Montados en un entorno Linux, vamos a revisar a simple vista los metadatos de la imagen. Recomiendo plenamente utilizar la conocida herramienta exiftool.

Metadatos de la imagen mediante EXIFTOOL

Lo que me resulto raro ahora fue la linea Encoding Process: Baseline DCT, Huffman coding, hasta que (CREO) que entendi que es un algoritmo de compresion de imagenes y se encuentra presente con frecuencia.

Vamos a nuestra segunda opcion, el estegoanalisis. Una de las herramientas mas sencillas de utilizar es steghide y ahora vamos a ver su facil uso, pero antes vamos a aclarar que es lo que vamos a hacer:

Con la herramienta steghide, vamos a tratar de extraer informacion que ha sido escondida en la imagen. El comando a utilizar sera:

steghide extract -sf aliens.jpg -xf resultado_ctf

¿Que significan esos parametros?

  • steghide: Es el nombre de nuestra herramienta 😀
  • extract = Le avisamos a steghide que vamos a querer extraer informacion sobre un archivo
  • -sf + nombre_de_archivo_a_extraer = El parametro SF viene de stego file, pasado a nuestro vocabulario “archivo esteganografeado“, seguido le pasamos el archivo origen, en nuestro caso la foto.
  • -xf + salida_de_la_extraccion = El parametro XF viene de extracted file, seguido de como queremos que se llame la salida de nuestro archivo que habia sido ocultado.

Cuando se oculta un objeto dentro de otro, se suele proteger con alguna password. Steghide no las pedira como SALVOCONDUCTO, pero nosotros vamos a cerrar los ojos y cruzar los dedos para que el archivo no este protegido.

Extraccion sin proteccion y vision de resultados

Una vez que notamos que el archivo no posee proteccion y nos genera nuestro archivo de salida, lo unico que hacemos es visualizarlo con el visor CAT, obteniendo como resultado un codigo en binario.

Parece que estamos cerca de nuestro objetivo, asi que vamos a pasar esa cadena a ASCII para poder leerlo, en mi caso voy a usar el servicio de esta web.

Primer tercio de desafios terminado.

Resultado: infosec_flagis_stegaliens 

 

¡ Gracias por leer !

DynamicSec.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s